Il software PolCat e le analisi investigative
Introduzione al software PolCat
Il suo nome, PolCat, deriva oltre che dal sostantivo Polizia dal nome del comando Linux Cat. Infatti era questo il comando che inizialmente veniva utilizzato per effettuare la clonazione di un disco. PolCat nasce nel maggio 2002. In realtà si trattava di un precursore dell’attuale applicativo in dotazione e le sue dimensioni erano talmente ristrette da poter essere contenuto in un floppy disk. Ovviamente, come per il software odierno, Polcat offriva soltanto gli strumenti necessari per acquisire i dati (clonare un disco o produrre un file di evidence).
Esso è stato pensato prima di tutto come strumento per reperire dati da dispositivi portatili, onde evitare di smontarli e comprometterne così o il funzionamento o il contenuto. Inizialmente è nato con interfaccia a linea di comando e questo richiedeva una maggiore conoscenza del sistema da parte degli agenti e per fare in modo che potesse essere facilmente utilizzato da tutti gli addetti del settore, si è pensato di aggiungere un’interfaccia abbastanza amichevole così da facilitare le normali opearazioni di clonazione o di evidence. Negli anni successivi, dato che GNU/Linux supportava un numero maggiore di hardware rispetto a MS-DOS, si è pensato di estendere le capacità di acquisizione dati anche a disposititvi come USB, PCMCIA, dischi SATA, etc.
PolCat e attività forense
PolCat è un’applicazione cosiddetta “live” che poggia cioè su sistemi operativi Linux e che non necessita di alcuna installazione su disco fisso ma viene caricata automaticamente all’avvio del PC (salvo un ordine non corretto dei dispositivi di boot). E’ pertanto necessario che la macchina sulla quale operare sia dotata di supporto di lettura ottica a livello hardware e impostare, tra le opzioni disponibili nell’elenco di boot del bios, l’unità di lettura ottica come principale di modo che possa caricarsi automaticamente all’avvio del sistema. La figura seguente mostra l’avvio dell’applicazione PolCat.
Questo strumento di attività forense è in grado di effettuare solamente una delle quattro fasi presentate nell’acquisizione dei dati. In aggiunta tuttavia sono state inserite alcune funzioni che potrebbero essere comunque utili per la fase di indentificazione e durante tutto il procedimento della catena di custodia dell’attività di digital forensic.
Modalità di operare di PolCat
PolCat è in grado di operare in due modalità differenti ma che conducono agli stessi risultati:
- modilità RESCUE: è la modalità riservata agli utenti esperti dei sistemi operativi Unix Based perché lavora “a riga di comando”. In questa modalità tutte le operazioni forensi sono effettuate digitando manualmente i comandi sul prompt; tralasciamo volutamente questa parte proprio perché richiede specifiche competenze di utilizzo.
- modalità NORMALE, si presenta all’operatore sotto forma di una serie di interfacce grafice in successione, mediante le quali è possibile scegliere quale operazione si vuol eseguire. E’ proprio su quest’ultima modalità che sono state svolte tutte le analisi del caso, ed è proprio quest’ultima che andremo a riportare in questa parte del lavoro.